Lengyelország Urząd Ochrony Danych Osobowych (UODO) — az adatvédelmi hatóság, amely a RODO-t (a GDPR lengyel nevét) érvényesíti — 2024-es végrehajtási felmérésében rendszerszintű technikai rést azonosított: a lengyel szervezeteknél telepített PII-eszközök 89%-a nem tudja helyesen észlelni a PESEL számot. Egy olyan ország számára, amely BPO szektorán keresztül naponta 2,3 millió EU-polgárrekordot dolgoz fel, ez a rés UODO-joghatóságot és minden EU-ország adatvédelmi hatóságát érintő megfelelőségi kitettséget teremt, amelynek polgárait lengyel szervezetek kezelik.
PESEL: Az UODO Által Előírt Technikai Standard
A PESEL (Powszechny Elektroniczny System Ewidencji Ludności) egy 11 jegyű nemzeti személyregiszter-szám, amely a következőket kódolja:
- 1-2. számjegy: Születési év (utolsó két számjegy)
- 3-4. számjegy: Születési hónap (évszázad szerint módosítva: 1800-as = 80+hónap, 1900-as = hónap ahogyan van, 2000-es = 20+hónap, 2100-as = 40+hónap, 2200-as = 60+hónap)
- 5-6. számjegy: Születési nap
- 7-10. számjegy: Sorszám (páratlan férfiaknak, páros nőknek)
-
- számjegy: Ellenőrző jegy a következő algoritmus szerint: szorozzuk a számjegyeket súlyokkal (1,3,7,9,1,3,7,9,1,3), összeadjuk, modulo 10, ha az eredmény ≠ 0, vonjuk ki 10-ből
Az évszázad-hónap kódolás (1800-as születésűeknél 80+hónap, 2000-es születésűeknél 20+hónap) egyedülálló a PESEL-ben, és rendszeres téves negatívokat okoz azon eszközöknél, amelyek csak a szabványos 1900-as formátumot ismerik.
Az UODO technikai követelménye: az eszközöknek meg kell valósítaniuk a teljes ellenőrző jegy algoritmust és kezelniük kell mind az öt évszázad-hónap kódolást. Azok az eszközök, amelyek csak az 1900-as születési évet ellenőrzik, kihagyják a 2000-es évek után született lengyeleket (akik 01-12 helyett 21-32 hónap kódokat használnak) — a digitális szolgáltatásokban legaktívabb 25 éves korosztályt.
NIP és REGON: Az Üzleti Dokumentumok Rése
NIP (Numer Identyfikacji Podatkowej): 10 jegyű lengyel adóazonosítási szám ellenőrző jeggyel. Az ellenőrző jegy súlyozott összeg algoritmust használ: szorozza meg az első 9 számjegyet súlyokkal (6,5,7,2,3,4,5,6,7), adja össze, modulo 11, ellenőrizze a 10. számjeggyel.
A NIP szinte minden lengyel üzleti dokumentumban megjelenik — számlákon, szerződéseken, adóbevallásokon, bérjegyzékeken. Mind egyéni (NIP osoby fizycznej), mind vállalkozói (NIP podmiotu) azonosító.
REGON: 9 jegyű vagy 14 jegyű vállalati statisztikai szám. A 9 jegyű REGON egy ellenőrző jegy algoritmust használ; a 14 jegyű REGON (meghatározott vállalati egységeket azonosít) más algoritmust. Mindkettő megjelenik üzleti szerződésekben és szállítói dokumentációban.
A NIP és REGON kombinációja üzleti dokumentumokban, a HR-nyilvántartásokban lévő személyes azonosítókkal, mint a PESEL, együttesen azt jelenti, hogy az átfogó lengyel PII-észlelés egyidejűleg mindhárom azonosítótípus támogatását igényli.
Lengyelország BPO-szektora: A Sokszorozódott Megfelelőségi Kitettség
Lengyelország üzleti folyamat-kiszervező szektora Nyugat-Európai vállalatok nevében személyes adatokat dolgoz fel:
- Német banki ügyfelek pénzügyi nyilvántartásait lengyel feldolgozóközpontok kezelik
- Francia biztosítottak igénybejelentéseit lengyel megosztott szolgáltatási központok dolgozzák fel
- Brit egészségügyi adminisztratív adatokat lengyel digitális egészségügyi háttérirodai csapatok dolgoznak fel
Amikor egy lengyel BPO-szervezet nem észleli a PESEL számot lengyel munkavállalói nyilvántartásokban — vagy nem észleli a német Steuer-ID-t a lengyel adatokkal együtt feldolgozott német ügyfélnyilvántartásokban — a jogsértés egyidejűleg kitettséget teremt:
- UODO (lengyel adatvédelmi hatóság): Lengyel állampolgárok adatait érintő elégtelen technikai intézkedésekért
- BfDI/Landesdatenschutzbehörden: Német állampolgárok adatait érintő elégtelen technikai intézkedésekért
- CNIL: Francia állampolgárok adataiért
- ICO: Brit állampolgárok adataiért
A több-joghatóságú RODO-megfelelőség olyan PII-eszközöket igényel, amelyek lefedik a feldolgozási környezetben jelen lévő összes nemzeti azonosítót — nem csak a lengyel BPO-szervezetek lengyel azonosítóit, hanem a teljes EU-azonosítótájat az EU polgárok adatait Lengyelországban kezelő szervezetek számára.
Források: